Thijs Smit, ECIIA / IIA Holland, tegi ESAÜ juubelikonverentsil ettekande pettustest teemal "Fraud – Two Sides of the Coin". Kuna teema kuulub siseauditi klassikasse, siis tasub seda aeg-ajalt üle korrata.
Miks siseaudit ei suutnud seda pettust ära hoida?
Kuidas siseaudit suudaks oma tegevust nii korraldada, et pettuse avastamisel ei esitataks küsimust: "Miks siseaudit ei suutnud seda pettust ära hoida?" Siseaudit saab ja peab hindama, kas juhatuse kehtestatud kontrollid on piisavad ennetamaks pettusi. Näiteks väikeste summade korral tihti kontrolle ei teostata. Samas kaasneb sellega kõrge risk, kuna väikeseid summasid on võimalik märkamatult pika aja jooksul omastada. Pettuste juhtumite analüüs võimaldab hinnata organisatsiooni kontrollinõrkusi.
Kindel on see, et pettus on alati ettekavatsetud, kuritarvitatakse oma positsiooni ning isik saab tulu.
Pettuste kategooriad on:
1) altkäemaks, sh kingitused. Tavaliselt tehakse nutikal viisil ja jälgi ei ole. Välja tuleb tavaliselt juhuslikult.
2) kulutuste pettused – nt valed arved, asutuse krediitkaartidega tehtavad kulud. Oluline on, et krediitkardi kasutamise reeglid oleksid selged.
3) pakkujatega seotud pettused;
4) küberturvalisus;
5) palgafond – nt kui personaliosakond ja – arvestus ei ole eraldatud, siis võivad palgasaajate hulka tekkida lisanimed (nö libatöötajad). Ühel juhul toimis kirjeldatud süsteem 10 aastat ning kahjum oli 10 miljonit eurot.
6) valede finantsraportite esitamine;
7) huvide konflikt – iseenesest ei ole pettus, aga kui on reegel, et sugulastega äri ei tehta, siis tuleb seda järgida. Isegi siis, kui see ei mõjuta turuhinda.
Riskikohad: juhid eiravad reegleid, võimalik manipuleerida tulemustega, kallid kingitused.
Thijs tõi näite, kus kingitustele on kehtestatud reeglid: maksumus ei tohi ületada 50 eurot ja peab olema tarbitav 24 h jooksul. Tänapäeval on lihtsam pettusi toime panna, kuna tehnoloogia on kõikvõimas, süsteemid on keerukad.
Viimasel ajal on levinud pettused, kus näiteks raamatupidaja saab kõne või e-kirja tippjuhilt, mille sisuks on: „Kiire, vajalik teha väljamakse järgmises summas“. Ühel sellisel juhul maksti välja üle 50 miljardi euro, sest raamatupidaja oli segaduses ja ei julgenud tippjuhilt lisaselgitusi küsida. Sellisel juhul tuleb alati tippjuhiga ühendust võtta ning kinnitust küsida (nö „helista presidendile“).
Kuidas hea organisatsioon tuleb toime pettustega?
Ennekõike peab olema kehtestatud reeglistik ning juhtumid tuleb registreerida. Siseaudit peab olema pettuste ennetamisse ning uurimisse kaasatud. Kehtestatud peaks olema pettuste riskijuhtimise süsteem (hindamine, ennetus). Thijs märkis, et nende asutuses ilmub sel teemal 2 uudiskirja aastas. Tagasiside juhtidele, mida oleme tuvastanud. Ning muidugi on hea kui toimib vilepuhumise süsteem. Nt Hollandi praktika on selline, et 300-st teavitusest 10% on seotud pettustega.
Siseaudit peab pettuste ennetamise teemal aktiivsem olema.
Ei tohi piirduda mõttega, et see on nii väikene raha ning ei ole oluline või et siseaudit ei suuda pettusi ennetada. Siseaudit peaks enam olema skeptilisem ja umbusklikum ning hindama rohkem ka juhtide kulutusi. Siseaudiitor, ära karda olla kriitilisem!